Grundlagen: Überwachungssysteme in Netzwerken

Voraussetzungen

Unabhängig von beiden Methoden stellt die Missbrauchserkennung allerdings einige Anforderungen: Ein Angriff lässt sich nur erkennen, wenn er schon als Angriff bekannt und in der Signaturdatenbank hinterlegt ist. Des Weiteren muss diese bekannte Angriffssignatur dem IDS zugänglich gemacht werden, damit dieses die eingehenden Datenpakete vergleichen kann. Eine Signaturdatenbank ist daher immer ein zentraler Bestandteil des IDS.

Um eingehende Daten als gefährlich zu erkennen, müssen sie analysiert werden. Datenpakete werden aber mitunter in kleine Segmente zerlegt und ohne eine bestimmte Reihenfolge über das Netzwerk versendet. Sie schlagen also unter Umständen durcheinander und nicht hintereinander auf dem IDS auf. Das IDS muss die Datenpakete erst wieder in die richtige Reihenfolge bringen und die einzelnen Teile zusammensetzen, um die Nutzdaten vollständig überprüfen und abgleichen zu können.